News

"Darkhotel"-Cyberspionage-Gruppe wieder aktiv

Hacking über WLANs in Luxushotels

Redaktion RiskNET10.08.2015, 17:25

Nach dem Anfang Juli 2015 bekannt gewordenen Hack der italienischen Firma Hacking Team, einem Lieferanten von Spionagesoftware für Regierungen und Strafverfolgungsbehörden, setzen nun einige Cyberspionage-Gruppen die erbeuteten Werkzeuge für ihre böswilligen Angriffe ein. Diese Exploits zielen auf Sicherheitslücken in Adobe Flash Player und Windows. Zumindest einer dieser Exploits wird von der mächtigen Darkhotel-Gruppe1 eingesetzt, die damit wieder verstärkt Führungskräfte zumeist in Hotels angreift.

Im Jahr 2014 entdeckten die Cybercrime-Experten von Kaspersky Lab die Elite-Cyberspionage-Gruppe Darkhotel. Die Gruppe ist bekannt dafür, über kompromittierte WLANs in Luxushotels hochrangige Führungskräfte anzugreifen. Unmittelbar nach dem Einbruch bei Hacking Team am 5. Juli 2015, setzten die Akteure hinter Darkhotel eine Zero-Day-Schwachstelle aus dem Bestand von Hacking Team ein. Es ist nicht bekannt, dass Darkhotel ein Kunde bei Hacking Team ist. Daher dürfte sich die Gruppe die Dateien beschafft haben, sobald diese öffentlich verfügbar wurden.

Es ist nicht das erste Mal, dass Darkhotel Zero-Day-Sicherheitslücken nutzt. Kaspersky Lab nimmt an, dass die Cyberspionage-Gruppe in den vergangenen Jahren ein gutes halbes Dutzend Zero-Day-Exploits eingesetzt hat, die vor allem auf Adobe Flash Player zielten. Zur Beschaffung hat Darkhotel offenbar beträchtliche Summen investiert. Mit der aktuellen Angriffswelle im Jahr 2015 erweiterte Darkhotel seinen Aktionsradius rund um die Welt, wobei gezielte Spearphishing-Attacken auf Opfer aus Deutschland sowie Nord- und Südkorea, Russland, Japan, Bangladesch, Thailand, Indien und Mozambique ausgeführt wurden. 

Unfreiwillige Hilfe von Hacking Team

Die auf APT-Attacken (Advanced Persistent Threats) spezialisierte Darkhotel-Gruppe ist schon seit knapp acht Jahren aktiv. Zu ihren Methoden zählt der Einsatz von Social Engineering-Techniken, gestohlenen Sicherheitszertifikaten und die Kompromittierung von WLAN-Netzen in Hotels. Neu ist jetzt die Verwendung von Zero-Day-Exploits aus dem Bestand von Hacking Team. Hier ein Überblick über die Methoden von Darkhotel:

  • Die Gruppe setzt weiterhin gestohlene Zertifikate aus seinem Bestand ein. Sie werden für die Downloader und Backdoor-Trojaner benutzt, um das angegriffene System zu täuschen. Die jüngst verwendeten Zertifikate stammen von der Firma Xuchang Hongguang Technology Co. Ltd. 
  • Unermüdliches Spearphishing: die APT-Angriffe von Darkhotel erfolgen im Abstand von mehreren Monaten immer wieder beim gleichen Ziel, unter Einsatz derselben Social-Engineering-Schemata. 
  • Einsatz eines Zero-Day-Exploits: die kompromittierte Webseite "tisone360.com" enthält die ein ganzes Arsenal von Backdoor-Trojanern und Exploits, darunter auch den Zero-Day-Exploit von Hacking Team.

"Darkhotel ist mit einem weiteren Exploit für Adobe Flash Player zurück, und dieses Mal steht der Exploit anscheinend in Zusammenhang mit dem Leck bei Hacking Team", erklärt Kurt Baumgartner, Principal Security Researcher bei Kaspersky Lab. "Die Gruppe hat zuvor schon einen Flash-Exploit auf der kompromittierten Website deponiert, welchen wir bereits im Januar 2014 als Zero-Day an Adobe meldeten. Darkhotel hat reihenweise Zero-Days und aktuelle Exploits von Flash verbraucht. Vermutlich hat die Gruppe noch einige Exploits zum Einsatz gegen hochrangige Personen weltweit auf Lager. Aus früheren Angriffen wissen wir, dass Darkhotel CEOs, Vorstandsmitglieder sowie leitende Angestellte im Bereich Marketing, Vertrieb und Entwicklung im Visier hat." 

Seit dem vergangenen Jahr hat Darkhotel zusätzlich an seinen Verteidigungstechniken gearbeitet, und zum Beispiel seine Checkliste der Anti-Viren-Software erweitert. Der Darkhotel Downloader kann die Anti-Viren-Technologien von 27 Sicherheitsanbietern identifizieren, mit der Intention, sich vor ihnen zu verbergen. 

1 securelist.com/blog/research/71713/darkhotels-attacks-in-2015 und securelist.com/blog/research/66779/the-darkhotel-apt/ 

[ Bildquelle: © xurzon - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Interview

Garantenpflicht

Haftung eines Risikomanagers

Redaktion RiskNET16.07.2018, 19:30

Der Bundesgerichtshof (BGH) hat in seinem Urteil vom 17.07.2009 (Az 5 StR 394/08) einen Leiter einer Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer Geldstrafe von...

Studie

Qualitative Evaluationsstudie

Risikomodellierung, Predictive Analytics und Big Data

Frank Romeike | Stefan Trummer19.06.2018, 08:07

Das Banken- und Versicherungsumfeld ist seit vielen Jahren im Umbruch. Dazu haben in nicht unerheblichem Maße die Aufsichtsbehörden und Standardsetter beigetragen. Wurden bis Mitte der 2000er...

Interview

Mundus vult decipi

Was tun mit Fake News?

Redaktion RiskNET06.06.2018, 14:24

Wahrheit oder Lüge? Wer kann das in unseren digitalen Zeiten noch beantworten? Umso wichtiger sind klare Parameter und ein methodisch sauberes Vorgehen, um Fake News zu enttarnen. Dafür plädiert...

Kolumne

Machine Learning-basierte Klassifikation von Marktphasen

Krisen frühzeitig identifizieren

Dimitrios Geromichalos [RiskDataScience]23.05.2018, 12:30

Wie in der Vergangenheit immer wieder beobachtet werden konnte, verhalten sich Märkte oftmals irrational und zeichnen sich – neben dem "Normal-Zustand" – durch Phasen im Krisen- und...

Kolumne

Geopolitik und Ökonomie

Über den Einfluss politischer Krisen

Martin W. Hüfner, Chief Economist, Assenagon Asset Management S.A.16.05.2018, 11:45

Mehr als sonst ist in den Börsenkommentaren in diesem Jahr nicht nur von ökonomischen Faktoren die Rede. Immer mehr Raum wird den politischen Krisenherden in der Welt eingeräumt. Da geht es um Iran...